Reise durch die Google-Republik

Zahlreiche österreichische Hochschulen nutzen auf ihren Websites den Statistikdienst Google Analytics. Dabei gibt es einen Schönheitsfehler: Die Weitergabe der Daten von Website-Nutzern ins Ausland ist nach dem heimischen Datenschutzgesetz nur dann gestattet, wenn der User deutlich darauf hingewiesen wird. Das geschieht nur punktuell.

Was haben die Websites des Außenministeriums, der Stadt Graz, der Kärntner und der Tiroler Landesregierung - um nur einige zu nennen - gemeinsam?

Sie alle hatten zu Beginn der vergangenen Woche ein Skript eingebaut, das die Verkehrsdaten aller Benutzer auf einen Server in den USA weitergab.

Das geschah, ohne dass die Benutzer davon eine Ahnung hatten, denn nur auf einem Bruchteil aller österreichischen Websites, in die das Service Google Analytics eingebaut ist, findet sich ein entsprechender Hinweis darauf.

Nutzungsbedingungen ignoriert

Das verstößt nicht nur gegen das österreichische Datenschutzgesetz, sondern auch gegen die Datenschutzrichtlinie der EU, die eine Weitergabe von Telekom- und Internet-Verkehrsdaten an Staaten, die nicht den EU-Datenschutzstandards entsprechen, mit Auflagen versieht.

Den Nutzungsbedingungen Googles, die dezidiert vorschreiben, dass vom Website-Betreiber "alle zumutbaren Anstrengungen unternommen werden, die Aufmerksamkeit der Nutzer Ihrer Website auf eine Erklärung [siehe Link unten, Paragraf 8] zu lenken", kommt die überwältigende Mehrheit der Betreiber ebensowenig nach.

Nationalbibliothek, TU und WU Wien

Ob man sich auf der Website der Österreichischen Nationalbibliothek im Bücherbestand umsieht oder auf der Site der Technischen Universität Wien nach einem bestimmten Institut erkundigen will, die jeweilige Information geht an Google.

Sucht man zum Beispiel nach der von Google verlangten Datenschutzerklärung auf der Website der TU Wien, so landen zuallererst zwei Cookies von Google [google.com und googlesyndication.com] auf dem heimischen Rechner, die Datenschutzerklärung fehlt hingegen. Das gleiche Bild bietet sich auf der Website der Wiener Wirtschaftsuniversität.

Die Fachhochschulen

An den Websites der meisten Fachhochschulen [FHs] wird man wenigstens durch ein Logo darauf hingewiesen, dass die Suche "powered by Google" sei.

Auf den Websites sind Google-Services nachgerade flächendeckend vorhanden, Ausnahme: die FHs in Dornbirn und in Pinkafeld.

Das sagt Google

Auf die Frage, was man denn bei Google dazu meine, dass die Informationspflicht an die Benutzer durch die Betreiber großer Websites in Deutschland und Österreich so nachhaltig ignoriert werde, wobei ein klarer Verstoß gegen Googles eigene Nutzungsbedingungen vorliege, antwortete Google-Sprecher Kay Oberbeck sinngemäß: Es sei "eine gute Frage", ob da Sanktionen vorgesehen seien, er werde sich erkundigen.

Auf die Beantwortung dieser Frage wartet ORF.at nunmehr seit gut zwei Wochen.

Die Datenschutzanfrage

Davor traf eine Antwort auf eine vom Autor dieses Artikels unter Berufung auf das österreichische Datenschutzgesetz gestellte Anfrage über von Google gespeicherte persönliche Daten ein.

Die Frage war konkret formuliert: mit welchen anderen Daten eine bestimmte fixe IP-Adresse, die noch dazu in der öffentlichen "Whois"-Datenbank mit Namen und Adresse des Inhabers aufscheine, sowie ein E-Mail-Account verknüpft seien.

Im Sinne der Transparenz

Die Antwort bestand aus einem Formbrief folgenden Inhalts: Google habe es so eingerichtet, dass jeder Benutzer im Sinne der Transparenz jederzeit die über ihn gespeicherten Daten einsehen könne.

Das sei dem Schutz der Privatsphäre zuträglicher, als wenn Google-Angestellte das täten.

Die Löschung des Accounts

Also starteten wir einen Versuch, bei Google als vorhanden aufscheinende Daten zu löschen. So gelang es relativ schnell, die bis in den Oktober 2007 zurückliegende "Web-History" zu löschen - bzw. "als gelöscht zu markieren" - drei Cookies wurden bei jedem neuen Klick dabei modifiziert.

Auch die Anbindung an das "Freundschaftsnetz" Orkut wurde mit wenigen Klicks erfolgreich entfernt.

Was nicht sofort gelang, war die Löschung des gesamten Accounts. Sie ist nämlich nicht unter "personal information" - wo man sie zuerst vermuten würde - zu finden, sondern unter "my products".

"Wieder deinstalliert"

Die von ORF.at dazu befragten Dienststellen im Außenministerium und den Landesregierungen zeigten sich über den Einsatz von Google Analytics zu Anfang kollektiv wenig informiert.

Der Tenor war danach durchgehend sehr ähnlich: Google Analytics werde von einem mit den Webservices beauftragten Unternehmen eingesetzt, die Beurteilung war allgemein gut: "Die Software ist hinsichtlich ihrer Funktionalität sehr gut und für den Anwender kostenlos", schrieb etwa Thomas Schönherr von der Tiroler Landesregierung an ORf.at. Allerdings schrieb er auch: "Die Software wurde mittlerweile wieder deinstalliert."

"An einen Server von Google in den USA"

Die Kärntner Landesregierung hatte überhaupt nur zwei Stunden gebraucht, um das Service zu deaktivieren, denn alle angefragten Behördenstellen reagierten einheitlich.

Sie setzten das unbestrittenerweise praktische Service ab, anstatt den Besuchern ihrer Websites - wie verlangt - mitzuteilen, dass alle ihre Benutzerdaten einschließlich IP-Adresse "an einen Server von Google in den USA übertragen und dort

gespeichert" werden.

Statistiken aus Österreich

Dabei ist Google längst nicht der einzige Anbieter von Statistik-Tools. "Der erste Weg eines österreichischen Unternehmens auf der Suche nach Statistiken sollte natürlich der zu seinem Internet-Provider sein", sagte Gerhard Laga von der Wirtschaftskammer Österreich zu ORF.at

In der Regel seien statistische Informationen über die Benutzer einer Site ohnehin im Hosting-Angebot enthalten. Liege der Provider in Österreich, verlassen die Nutzungsdaten den Gültigkeitsbereich des hiesigen Datenschutzgesetzes erst gar nicht.

Hundertausende Server weltweit

Der eigentliche Grund für die schiere Omnipräsenz von Google Analytics auf deutschsprachigen Nachrichten-Websites - etwa drei Viertel der reichweitenstärksten Sites in Deutschland wie in Österreich haben den Analytics-Code integriert - ist offensichtlich in der Qualität der Daten über die einzelnen Benutzer.

Dafür wiederum gibt die Quantität den Ausschlag. Während ein österreichischer Provider, der über die Besucher einer von ihm gehosteten Website nur verknüpfen kann, was auf seinen eigenen Servern angesehen wird, kann Google die User quer durch den Sprachraum und darüber hinaus tracken.

Laut Google-Sprecher Oberbeck wird Google Analytics weltweit auf Hunderttausenden Servern eingesetzt.

Mehr zum Thema:

Auf Ontraxx.net läßt sich bei jeder Website nachprüfen, welche externen Services eingebunden sind. Der Betreiber von Ontraxx.net, der österreichische Suchmaschinen-Experte Walter Karban, hat den Start eines neuen Service namens Notraxx.net für Anfang der Woche angekündigt.

• Online-Medien - Google liest mit

• Ontraxx

• Die Nutzungsbedingungen Googles

(futurezone | Erich Moechel)